Проблеми виявлення прихованої передачі по мережах
Проблеми виявлення прихованої передачі по мережах
Олексій Миколаїв, фахівець із захисту інформації ВАТ "Концерн Вега"
Рівень матеріальних збитків компаній (як потенційно можливої, так і фактичної шкоди) від прихованого витоку інформації дуже високий. Він також призводить до шкоди репутації постраждалих компаній. На думку фахівців, втрата 20% інформації, що є конфіденційною, у 60 випадках зі 100 призводить до банкрутства компанії. До того ж багато дослідних компаній відзначають - понад 80% усіх інцидентів, пов'язаних з порушенням інформаційної безпеки, викликані внутрішніми загрозами. Джерелами таких загроз, що спричинили порушення конфіденційності інформації, є інсайдери.
Результати досліджень
Результати аналізу інцидентів за 9-й місяць 2008 р., представлені компанією InfoWatch, показали, що витоки з використанням мереж, у тому числі Інтернету, становили 41% від усіх навмисних інцидентів (табл. 1). Навмисні причини витоку становили 36,9% за місяць, і це при тому, що 13,3% витоків за своїм статусом не визначено (табл. 2).
Така статистика говорить про те, що існує дуже актуальна проблема прихованої передачі конфіденційної інформації через мережу.
Основні канали витоку конфіденційної інформації
У разі коли об'єднання комп'ютерів у ЛОМ передбачає підключення цієї мережі до зовнішніх мереж, виникає ряд можливостей утворення прихованих каналів витоку конфіденційної інформації.
Основні канали витоку конфіденційної інформації, характерні для таких мереж:
Способи прихованої передачі інформації
Боротьба з навмисними витоками – завдання дуже складне. Ефективність такої боротьби в основному свідомо нижча, ніж боротьби з випадковими витоками, тому що належить протидіяти зловмисним хитрощам інсайдерів, на озброєнні яких є ряд цікавих можливостей прихованої передачі, а також програмних і навіть апаратних засобів її реалізації.
Все більшої небезпеки набувають такі способи прихованої передачі інформації:
- можливість прихованого каналу витоку інформації виникає при використанні інсайдерами анонімних https- та інших захищених проксисерверів: тунелювання, яке дозволяє зловмиснику, використовуючи дозволений протокол, передавати конфіденційну інформацію, минаючи міжмережевий екран;
- стеганографічні способи приховування інформації в різних файлах шляхом камуфлювання;
- шифрування інсайдером конфіденційної інформації перед її надсиланням;
- використання інсайдером шкідливих програм для реалізації прихованої передачі.
Варіанти закриття каналів витоку інформації
- ізолювання ЛОМ для роботи з конфіденційною інформацією;
- використання системивіддаленого та локального моніторингу робочих станцій користувачів;
- використання засобів криптографічного та антивірусного захисту інформації;
- застосування засобів контентного аналізу даних, що передаються як у зовнішню мережу, так і із зовнішньої мережі в ЛОМ компанії;
- застосування засобів контролю доступу зовнішніх носіїв.
Вирішення проблеми
Лише часткове вирішення проблеми шляхом контролю та аналізу трафіку не є панацеєю. Простіше ізолювати локальну мережу з обробкою конфіденційної інформації, ніж контролювати передачу інформації на зовнішні сервери. Тому буде надійніше, якщо в компанії буде передбачено та реалізовано спеціально виділену ізольовану локальну мережу для обробки конфіденційної інформації в рамках контрольованої зони, а для роботи з відкритою інформацією - зовнішню мережу, яка має підключення до Інтернету. Моніторинг комп'ютерів зовнішньої мережі здійснює адміністратор безпеки, який контролюватиме з використанням різних засобів захисту комп'ютери працівників, які працюють у такій мережі.
Таким чином, ефективніше поряд з іншими способами захисту використовувати комплексний підхід із ізолюванням сегменту ЛОМ для обробки конфіденційної інформації та застосовувати при цьому засоби для боротьби з інсайдерами для зовнішнього сегменту компанії, що дозволить скоротити загрози та мінімізувати ризики витоку інформації.
Коментарі експертів
Євген Мельников, начальник відділу інформаційної безпеки департаменту ІТ ДК ЗАТ "Тандер"
Євген Іванов, Ганна Орєхова, спеціалісти з інформаційної безпеки департаменту ІТ ДК ЗАТ "Тандер"
Прихована передача інформації
При прихованій передачі інформації ховається сам факт їїпередачі. Виявити такий канал витоку дуже непросто. Отже, зловмисник може знову і знову використовувати його у своїх цілях. Можливостей приховано передавати інформацію нескінченно багато, досить просто виявити фантазію.
Організувати приховану передачу інформації може зловмисник ззовні, так і співробітник компанії. Зовсім не обов'язково мати права адміністратора, достатньо мати доступ до інформації, бажання її продати і людину, готову її купити.
Можна навести простий приклад. Два користувача домовляються, що якщо слово в повідомленні містить непарну кількість букв, передається біт, що дорівнює 1, а якщо парне - 0.
У разі коли в ролі зловмисника виступає адміністратор, можливе впровадження програми-закладки, яка прихованим чином передаватиме інформацію або дозволить керувати мережею ззовні.
Буває так, що розробники програмного забезпечення впроваджують у код недокументовані функції, виконання яких може призвести до порушення цілісності корпоративної інформації.
Способи організації прихованих каналів
Останнім часом все частіше можна почути про так звані приховані канали передачі даних. Саме це поняття існує з 1973, де прихованим називається канал, який не проектувався і не передбачався для передачі інформації в електронній системі обробки даних. Для організації прихованого каналу потрібна наявність закладки у програмному чи апаратному забезпеченні.
Один із способів організації прихованого каналу - перестановка мережних пакетів певним чином. У цьому основі заздалегідь обумовлених ознак передається послідовність біт.
Ще один спосіб організації прихованого каналу – використання алгоритмів електронного цифрового підпису. С.В. Бєлім та А.М.Федосєєв у 2007 р. провели дослідження та довели можливість створення прихованих каналів у рамках алгоритму електронного цифрового підпису ГОСТ Р 34.10-2001.
Звичайно, прості користувачі, які бажають продати інформацію конкурентам, шукатимуть простіші способи її розкрадання. Але в рамках інформаційної безпеки (захисту комерційної таємниці організації) ця проблема є актуальною. Оскільки більшість використовуваного апаратного та програмного забезпечення є імпортним, то можливість застосування закладок зростає. Використовуючи прихований канал, зловмисник може отримати доступ до конфіденційної (службової) інформації, а й запровадити шкідливий код чи передати команду виконання.
В Україні про розробку наукової методології організації боротьби зі прихованими каналами в інформаційних мережах було заявлено наприкінці 2006 р. українські вчені розробили математичну модель побудови прихованих каналів, оцінки їхньої пропускної спроможності та методів боротьби з ними.
Ще одним способом прихованої передачі є передача даних на основі хаотичної синхронізації. О. Короновський, О. Москаленко, П. Попов, О. Храмов у 2008 р. запропонували новий спосіб, що характеризується стійкістю до шумів та флуктуацій у каналі зв'язку.
Висновок
Отже, підіб'ємо підсумки. В умовах жорсткої конкурентності використовуються будь-які способи та методи добування інформації, розголошення якої може завдати компанії безліч проблем, починаючи з перевірок правоохоронними органами, втрати довіри клієнтів, інвесторів та кредиторів.
У рамках кризи проблема витоку конфіденційної (службової) інформації лише зростає. Все це потребує пильної уваги адміністраторів безпеки та наукового підходу до проблеми. Необхідне впровадженняорганізаційних методів (розробка регламентів забезпечення інформаційної безпеки з обов'язковим доведенням до всіх співробітників організації), перевірка програмного забезпечення, що встановлюється, на наявність недекларованих можливостей, екранування мережі, наявність грамотно налаштованої системи антивірусного захисту, а також постійний контроль користувачів щодо використання засобів зберігання інформації (використання мобільних пристроїв) ).